Компанія Microsoft опублікувала оновлення дистрибутива CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), який розвивається як універсальна базова платформа для Linux-оточень, що використовуються в хмарній інфраструктурі, edge-системах та різних сервісах Microsoft. Проект націлений на уніфікацію застосовуваних у Microsoft Linux-рішень та спрощення підтримки Linux-систем різного призначення в актуальному стані. Напрацювання проекту розповсюджуються під ліцензією MIT.
У новому випуску:
- Почалося формування базового iso-образу (700 МБ). У першому випуску готові ISO-образи не надавалися, передбачалося, що користувач може створити образ з необхідною начинкою (складальні інструкції підготовлені для Ubuntu 18.04).
- Реалізовано підтримку автоматичного оновлення пакетів, для чого до складу включено програму Dnf-Automatic.
- Ядро Linux оновлено до версії 5.10.60.1. Оновлені версії програм, в тому числі openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, xz 4.0.2, 4.4, squashfs-tools 8.0.26, mysql XNUMX.
- В OpenSSL надано можливість повернення підтримки TLS 1 та TLS 1.1.
- Для перевірки вихідних текстів інструментарію задіяно утиліту sha256sum.
- До складу включені нові пакети: etcd-tools, cockpit, aide, fipscheck, tini.
- Видалено пакети brp-strip-debug-symbols, brp-strip-unneeded та ca-legacy. Видалено SPEC-файли для пакетів Dotnet та aspnetcore, які тепер збираються основною командою розробників .NET та розміщуються в окремому репозиторії.
- У версії пакетів, що використовуються, перенесені виправлення вразливостей.
Нагадаємо, що дистрибутив CBL-Mariner надає невеликий типовий набір основних пакетів, що виступають універсальною основою для створення начинки контейнерів, хост-оточень та сервісів, що запускаються в хмарних інфраструктурах та на edge-пристроях. Більш складні та спеціалізовані рішення можуть створюватись шляхом додавання додаткових пакетів поверх CBL-Mariner, але основа для всіх подібних систем залишається незмінною, що спрощує супровід та підготовку оновлень. Наприклад, CBL-Mariner застосовується як основа міні-дистрибутива WSLg, в якому надаються компоненти графічного стека для організації запуску GUI-додатків Linux в оточеннях на базі підсистеми WSL2 (Windows Subsystem for Linux). Розширена функціональність WSLg реалізується через включення додаткових пакетів з композитним сервером Weston, XWayland, PulseAudio і FreeRDP.
Система складання CBL-Mariner дозволяє генерувати як окремі RPM-пакети на основі SPEC-файлів та вихідних текстів, так і монолітні системні образи, що формуються за допомогою інструментарію rpm-ostree та оновлюються атомарно без розбивки на окремі пакети. Відповідно, підтримується дві моделі доставки оновлень: через оновлення окремих пакетів та через перебудову та оновлення всього системного образу. Доступний репозиторій, що включає близько 3000 вже зібраних пакетів RPM, який можна використовувати для компонування власних образів на основі файлу конфігурації.
Дистрибутив включає тільки необхідні компоненти і оптимізований для мінімального споживання пам'яті і дискового простору, а також для високої швидкості завантаження. Дистрибутив також примітний включенням різних додаткових механізмів підвищення захисту. У проекті застосовується підхід «максимальна безпека за умовчанням». Надається можливість фільтрації системних викликів за допомогою механізму seccomp, шифрування дискових розділів, верифікації пакетів цифрового підпису.
Активовані режими рандомізації адресного простору, що підтримуються в ядрі Linux, а також механізми захисту від атак, пов'язаних із символічними посиланнями, mmap, /dev/mem і /dev/kmem. Для областей пам'яті, в яких розміщуються сегменти з даними ядра та модулів, встановлений режим лише для читання та заборонено виконання коду. Опціонально доступна можливість заборони завантаження модулів ядра після ініціалізації системи. Для фільтрації мережних пакетів задіяний інструментарій iptables. На етапі складання за замовчуванням включені режими захисту від переповнення стека, переповнення буфера та проблем з форматуванням рядків (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Для управління сервісами та завантаженням застосовується системний менеджер systemd. Для керування пакетами поставляються пакетні менеджери RPM та DNF (варіант tdnf від vmWare). SSH-сервер за замовчуванням не вмикається. Для встановлення дистрибутива надається інсталятор, який може працювати як у текстовому, так і у графічному режимах. В інсталяторі надається можливість встановлення з повним або базовим набором пакетів, пропонується інтерфейс для вибору дискового розділу, вибору імені хоста та створення користувачів.
Джерело: opennet.ru